Отчет о уязвимости ZetaChain, предоставленный White Hat, но проигнорированный, что привело к атаке на сумму 334 000 долларов

29 апреля протокол межцепочной связи ZetaChain сообщил, что проблема безопасности, связанная с недавней уязвимостью примерно на 334 000 долларов, была заранее обнаружена исследователем через программу поиска ошибок, но команда проекта тогда сочла её «ожидаемым поведением». Согласно официальному обзору инцидента, атака возникла из-за комбинации из трех проектных недостатков, которые изначально казались независимыми и низкорискованными: контракт Gateway позволял любому отправлять произвольные межцепочные инструкции; получающая сторона могла выполнять вызовы практически к любому контракту, при этом ограничения черного списка были слишком узкими; и некоторые кошельки сохраняли неограниченные разрешения, которые не были очищены. В конечном итоге злоумышленник использовал эти недостатки, чтобы заставить Gateway переводить токены напрямую на адрес под его контролем, завершив передачу активов. ZetaChain заявил, что атака включала девять транзакций на четырех цепочках: Ethereum, Arbitrum, Base и BSC, при этом украденные средства поступили с кошельков, контролируемых ZetaChain, а средства пользователей остались нетронутыми. В официальном отчете указано, что атака была явно спланирована заранее. Злоумышленник пополнил свой кошелек через Tornado Cash за три дня до атаки, заранее развернул специальный контракт Drainer и также осуществил атаку по отравлению адреса. ZetaChain начал внедрять исправление в основные узлы сети, навсегда отключив функцию произвольных вызовов и изменив механизм неограниченных разрешений в процессе депозита на «разрешение точной суммы».